この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Console に初めてログインする場合は、次の手順を実行します。
ステップ 1 デスクトップから Start > Programs > Cisco HIDS > Cisco HIDS Console を選択します。
ステップ 2 デフォルトのユーザ名 Administrator とデフォルトのパスワード Administrator を入力します。
(注) Consoleに初めてログインした場合は、ログイン後に管理者パスワードを変更してください。
Console の管理者は 1 人だけです。管理者アカウントでは、ユーザ管理を含むシステム機能へのフルアクセスが可能です。
管理者アカウントのパスワードを変更するには、次の手順を実行します。
ステップ 2 Tools > Change Password を選択します。
ステップ 3 Old Password フィールドに Administrator と入力します。
ステップ 4 New Password フィールドに新しいパスワード( 7 ~ 20 の英字)を入力します。
ステップ 5 Confirm Password フィールドに新しいパスワードを再入力し、OK をクリックします。
追加のアカウントを作成して、Console へのアクセス権をユーザに付与することができます。これらのアカウントでは、ユーザ管理以外のすべての Host IDS システム機能にアクセスできます。ユーザ管理機能を実行できるのは、管理者だけです。
Console ユーザ アカウントを作成するには、次の手順を実行します。
ステップ 2 Tools > Console Users を選択します。
Console Users Detail ウィンドウが表示されます。
ステップ 4 次のフィールドに新しいユーザ情報を指定します。
• User Name(Console へのログインに使用する名前)
• Confirm Password(このユーザのパスワードの再入力)
ステップ 5 OK をクリックして新規ユーザの詳細を保存し、Console Users ウィンドウに戻ります。
ステップ 6 OK をクリックし、Console Users ウィンドウを閉じます。
セキュリティ イベントの際に電子メールまたはポケットベルで通知する個人の連絡先をまとめたアドレス帳を作成できます。実際の通知パラメータはセキュリティ ポリシーで設定されますが、セキュリティ ポリシーを作成する前に、通知先を選択するためのアドレス帳を設定しておく必要があります。
ステップ 2 Tools > Notifications > Address Book を選択します。
Notification Address Book ウィンドウが表示されます。
Contact Information Properties ウィンドウが表示されます。
ステップ 4 次のフィールドに、新しい連絡先の情報を指定します。
• Display Name:Notification Address Book ウィンドウに表示される連絡先の名前を指定します。
ステップ 5 OK をクリックして新しい連絡先の情報を保存し、Notification Address Book ウィンドウに戻ります。
ステップ 6 OK をクリックし、Notification Address Book ウィンドウを閉じます。
(注) 電子メールまたはポケットベルでの通知送信を可能にするには、事前に SMTP サーバの指定手順を完了しておく必要があります。
電子メールとポケットベルでの通知に使用する、発信 SMTP サーバの名前を指定する必要があります。ESMTP をご使用の場合は、ユーザ名とパスワードを指定する必要があります。
ステップ 2 Tools > Options を選択します。
ステップ 3 Category リストから E-mail を選択します。
ステップ 4 Outgoing mail (SMTP) server フィールドに発信メール サーバの名前を入力します。
ステップ 5 Reply address フィールドに有効な電子メール アドレスを入力します。このアドレスは、Host IDS システムにより送信され配送できなかったすべての電子メールの返送先として使用されます。
ステップ 6 認証が必要な ESMTP サーバに対しては、次の手順を実行します。
a. Mail user name フィールドにメール サーバ アカウントのユーザ名を入力します。
b. Mail user password フィールドにメール サーバ アカウントのパスワードを入力します。
エージェント グループを作成して、エージェントが保護するサーバのタイプ(Solaris エージェントすべてをグループ化)や地理的な場所(A 棟のすべてのエージェントをグループ化)のような意味のある集合にエージェントをグループ化できます。デフォルトのエージェント グループには、All Agents と New Agents の 2 つがあります。All Agents グループには、インストールされ、サーバと通信しているエージェントがすべて含まれます。このグループのプロパティは変更できません。New Agents グループには、初めてサーバと通信した新しいエージェントがすべて含まれます。このエージェントは、別のエージェント グループに移動するまで、このグループから抜けることはありません。
エージェント グループを作成するには、次の手順を実行します。
ステップ 3 Agents > New Agent Groups を選択します。
Agent Group Properties ウィンドウが表示されます。
ステップ 4 Properties タブを選択し、Group Name フィールドに新しいエージェント グループの名前を入力します。
ステップ 5 Agents タブを選択します。エージェントをこのエージェント グループに追加するには、All Agents リストからエージェントを選択し、Add をクリックします。
ステップ 6 このエージェント グループに追加するすべてのエージェントに対し、ステップ 5 を繰り返します。
(注) 1 つのエージェントは、複数のエージェント グループに属することができます。1 つのエージェントが複数のエージェント グループに属する場合、より制限のあるセキュリティ ポリシーが優先されます。
ステップ 7 OK をクリックし、Agent Group Properties ウィンドウを閉じます。
エージェントをインストールし、グループ分けした後に、それらのエージェントが認識するアクティビティ タイプを監視できます。エージェントは、最初にインストールされたときはデフォルト モードになっています。デフォルト モードは SecureSelect-Warning です。このモードでは、エージェントはシグニチャを傍受し、そのアクティビティを Console へロギングしますが、セキュリティ手段は実行しません。SecureSelect-Warning モードでは、どのようなシグニチャが傍受されたかを知ることができ、それらのシグニチャが日常の業務活動に起因するものか、またはセキュリティ侵犯の形跡なのかについて断定できます。エージェントによる疑わしい動作の記録は、セキュリティ イベントと呼ばれます。すべてのセキュリティ イベントは、Security Event Monitor にリストされます。Security Event Monitor には、View > Security Events Monitor を選択してアクセスできます。
シグニチャが定期的に傍受されることに気付いた場合、それらのコンピュータ上でのユーザの作業習慣によるアクティビティをチェックします。認識されたシグニチャが、電子メールの送信や合法なソフトウェアのインストールなど、悪意のないアクティビティの結果である場合、false positive 警告を最小限にする例外を作成する必要があります。
• イベントベース例外:Security Events Monitor ウィンドウで、イベントをダブルクリックするか、右クリックして Create Exception 機能にアクセスします。
• 事前定義済み例外:Exception Management ウィンドウで、事前に定義済みのテンプレートに基づいた例外を作成します。テンプレートは例外の基本的なパラメータを定義するものです。
• 複製例外:Exception Management ウィンドウで、既存の例外に基づいた例外を作成します。複製例外は、既存の例外に類似の例外を作成するときに便利です。
イベントベース例外または事前定義済み例外については、New Exceptions Properties にリストされるパラメータを定義する必要があります。これらのパラメータは、次のカテゴリに含まれます。
ワイルドカードは、例外のパラメータの定義で使用することがあります。ワイルドカードを使用するときは必ず、次のガイドライン従ってください。
• アスタリスク(*)は、0 個以上の文字からなる任意の文字列を表すワイルドカードです。
a. View > Security Events Monitor を選択します。
Security Events Monitor ビューが表示されます。
Security Event Properties ウィンドウが表示されます。
New Exception Properties ウィンドウが表示されます。
d. ステップ 5へ進みます。
Exceptions Management ビューが表示されます。
b. ツールバー上の Create Exception アイコンをクリックします。
New Exception Properties ウィンドウが表示されます。
c. ステップ 5へ進みます。
Exceptions Management ビューが表示されます。
c. Exception > Duplicate を選択します。
d. Yes をクリックし、選択した例外を元にした複製例外を作成します。
Exception Management ビューに新しい例外が表示されます。
f. ステップ 5に進み、例外名を含む、複製例外のパラメータを修正します。
a. 次の Details タブ上のフィールドを設定します。
– Exception Name:例外の名前を指定します。すべての例外は、一意な名前を持つ必要があります。
b. 次の Signatures タブ上のフィールドを設定します。
– All Signatures:この例外をすべてのシグニチャに適用します。
– Specific Signatures:この例外を適用する特定のシグニチャを選択できます。1 つ以上のシグニチャを選択し、Add をクリックします。
– Signatures for the Exception:追加した特定のシグニチャおよびイベントをトリガーしたシグニチャ(イベントベース例外の場合)を含む、この例外を適用するシグニチャをリストします。例外は少なくとも 1 つのシグニチャに適用する必要があります。
– All Agents:この例外をすべてのエージェントに適用します。
– Specific Agents:この例外を適用する特定のエージェントを選択できます。1 つ以上のエージェントを選択し、Add をクリックします。
– Available Agent Groups:エージェント グループをリストします。この例外をエージェント グループに適用するには、1 つ以上のエージェント グループを選択し、Add をクリックします。
– Agents for the Exception および Agent Groups for the Exception:追加した特定のエージェントまたはエージェント グループ、およびイベントをトリガーしたエージェント(イベント ベース例外の場合)を含む、この例外が適用されるエージェントをリストします。例外は少なくとも 1 つのエージェントまたはエージェント グループに適用される必要があります。
– All Users:この例外をすべてのユーザに適用します。
– Specific Users/User Groups:この例外を適用する特定のユーザまたはユーザ グループを選択します。例外をユーザまたはユーザ グループに適用するには、Known Users リストまたは Known User Groups リストから 1 つ以上のユーザまたはユーザ グループを選択し(または、User name フィールドまたは User Group Name フィールドに名前を入力し)、Add をクリックします。
– Users for the Exception と User Groups for the Exception:追加した特定のユーザまたはユーザ グループ、およびイベントをトリガーしたユーザ(イベント ベース例外の場合)を含む、例外を適用するユーザまたはユーザ グループをリストします。例外は少なくとも 1 つのユーザまたはユーザ グループに適用される必要があります。
e. 次の Processes タブ上のフィールドを設定します。
– All Processes:この例外をすべてのプロセスに適用します。
– Specific Processes:この例外を適用する特定のプロセスを選択できます。例外をプロセスに適用するには、Known Processes リストから 1 つ以上のプロセスを選択し(または Process File Name フィールドにプロセス名を入力し)、 Add をクリックします。
– Processes for the Exception:追加した特定のプロセスとイベントをトリガーしたプロセス(イベント ベース例外の場合)を含む、この例外が適用されるプロセスをリストします。例外は少なくとも 1 つのプロセスに適用される必要があります。
f. 次の Advanced Details タブ上のフィールドを設定します。
– Parameter:値の追加が可能なパラメータをリストします。パラメータに値を追加するには、パラメータを選択し、Values フィールドに値を入力します。例外をこのパラメータと値のペアに適用するには、Add をクリックします。
(注) 事前定義済みの例外の場合は、パラメータ リストに使用可能なパラメータを表示させる前に、テンプレートを選択する必要があります。
ステップ 6 OK をクリックし、妥当性を検査するプロセスを開始します。必要なすべてのフィールドの妥当性が検証された後で、例外が作成されます。
セキュリティ ポリシーでは、疑わしい動作に対するエージェントの応答方法について定義します。これには、イベント ロギング、アクションの阻止、通知の送信が含まれます。
セキュリティ ポリシーを作成するには、次の手順を実行します。
ステップ 2 View > Policies を選択します。
Policy Properties ウィンドウが表示されます。
ステップ 4 Details タブを選択し、Policy Name フィールドに作成するポリシーの名前を入力します。
ステップ 5 Agents タブを選択し、このポリシーに従う必要のあるエージェント グループ(複数可)を選択します。Add をクリックします。
ステップ 6 Users タブを選択し、このポリシーに従う必要のあるユーザ グループ(複数可)を選択します。Add をクリックします。
ステップ 7 このポリシーのための通知設定を指定するには、各重大度タブ(High、Medium、Low、Info)に対して次の手順を実行します。
a. Reaction リストからアクションを選択します。次のリアクションから選択できます。
– Prevent:エージェントは攻撃を阻止し、そのイベントを記録します。
b. 次の手順を実行して、電子メールによる通知の受信者を指定します。
– E-mail フィールドの隣の Edit をクリックします。
– Select Recipients ウィンドウで、電子メールによる通知の受信者の名前(複数可)を選択し、Add をクリックします。
c. 次の手順を実行して、ポケットベルによる通知の受信者を指定します。
– Pager フィールドの隣の Edit をクリックします。
– Select Recipients ウィンドウで、ポケットベルによる通知の受信者の名前(複数可)を選択し、Add をクリックします。
– Tools > Notifications > Spawn Process を選択します。
– Notifications Spawn Process ウィンドウで、New をクリックします。
– Spawn Process Properties ウィンドウでプロセスの表示名を指定し、生成するプロセス ファイルのパスを参照するか、File Name フィールドに指定します。
– Tools > Notifications > SNMP Trap を選択します。
– Notifications SNMP Traps ウィンドウで、New をクリックします。
– SNMP Trap Properties ウィンドウで、次を指定します。
Display Name:不正侵入の発生時に送出する SNMP トラップの名前を指定します。
IP Address:SNMP トラップの IP アドレスを指定します。
Community:SNMP トラップの宛先ハードウェアが属するコミュニティを指定します(デフォルトは public)。
Port:宛先ハードウェアが SNMP トラップとの通信に使用するポート番号を指定します(デフォルトは 162)。
ステップ 8 OK をクリックし、作成したセキュリティ ポリシーのパラメータを承認して Policy Properties ウィンドウを閉じます。
インストールされたエージェントは、デフォルトで SecureSelect-Warning モードに設定されています。エージェントを監視し、適切な例外とセキュリティ ポリシーを作成した後に、モードを SecureSelect-Protection または SecureSelect-Vault に変更できます。
SecureSelect-Warning モードでは、エージェントはシグニチャの検出とイベントの記録を行いますが、イベントの阻止は行いません。
SecureSelect-Protection モードでは、エージェントはオペレーティング システムへの要求の監視、疑わしいイベントの報告と記録、および確立されたセキュリティ ポリシーに従ったリアクションを行います。
SecureSelect-Vault モードのエージェントは、SecureSelect-Protection モードのエージェントと同様に動作します(OS-Vault として指定されたシグニチャに関することを除く)。これらのシグニチャは、オペレーティング システムを強化することができます。SecureSelect-Vault モードのエージェントは、あらゆる OS-Vault シグニチャの発生を阻止します。
ステップ 3 Agent Groups カラムで All Agents を選択します。
インストール済みの全エージェントの名前が、All Agents カラムに表示されます。
ステップ 4 エージェントのモードを変更するには、エージェント名を右クリックし、SecureSelect-Protection Mode か SecureSelect-Vault Mode を選択します。
次にエージェントがサーバと通信するときに、エージェントのモードは現在のモードから選択したモードに変更されます。エージェントとサーバの通信の時間間隔は、Tools > Options > Advanced メニューで設定されます。
エージェントにより保護されているホスト上のサービスを起動または停止することで、セキュリティ ポリシーの妥当性を検証できます。
Windows NT オペレーティング システムのためのセキュリティ ポリシーをテストするには、次の手順を実行します。
ステップ 1 デスクトップから、Start > Settings > Control Panel > Services を選択します。
ステップ 2 Services ウィンドウで、現在稼動していない NT サービス(entercept サービス以外)を選択し、Start をクリックします。
ステップ 3 サービスが起動するのを待ち、Stop をクリックします。
ホスト上の NT サービスの起動と停止により、そのホストを保護しているエージェントは 2 つのシグニチャ、NT service started と NT service stopped を認識します。これらのシグニチャのデフォルトのセキュリティ レベルは Info です。エージェントは、Info シグニチャに指定されたリアクション(設定されている通知をすべて含む)を実行します。ユーザは、NT service started シグニチャと NT service stopped シグニチャの重大度を増加し、High、Medium、そして Low シグニチャに対するエージェントのリアクションをテストできます。
データベース中のすべてのシグニチャには、次の 4 つのセキュリティ レベルのうちの 1 つが割り当てられています。
シグニチャのセキュリティ レベルは、修正、ディセーブル化、復元が可能です。
セキュリティ レベルを修正およびディセーブルにするには、次の手順を実行します。
ステップ 2 View > Security Level Modifiers を選択します。
Security Level Modifiers ビューが表示されます。
New Level Modifier ウィンドウが表示されます。
ステップ 4 リストからシグニチャを選択し、Change Level をクリックします。
Level Modifier Properties ウィンドウが表示されます。
ステップ 5 Security Level タブを選択します。
ステップ 6 次の手順を実行して、このシグニチャの現在のセキュリティ レベルを変更します。
a. すべてのエージェントに認識されるセキュリティ レベルを変更するには、For all groups を選択し、リストからレベルを選択します。
b. 特定のエージェント グループに認識させる別のセキュリティ レベルを設定するには、For specific groups を選択し、Levels リストからレベルを選択します。
シグニチャに関連付けられたセキュリティ レベルをデフォルト値に復元できます。
ステップ 2 View > Security Level Modifiers を選択します。
Security Level Modifiers ビューが表示されます。
ステップ 3 リストからシグニチャを選択し、ツールバー上の Delete Modifier アイコンをクリックします。
モディファイアを削除するかどうかを尋ねるダイアログボックスが表示されます。